Der größte DeFi-Raubzug des Jahres 2026: Hacker nutzten Aave mühelos aus

Autor: Xiao Bing, Shenchao TechFlow

Am Abend des 18. April um 17:35 Uhr (UTC) sendete eine Wallet, die Geld über Tornado Cash gewaschen hatte, eine kettenübergreifende Nachricht an den LayerZero-EndpointV2-Vertrag.

Die Botschaft war einfach: Ein Nutzer einer bestimmten Blockchain wollte rsETH zurück ins Ethereum-Mainnet übertragen. LayerZero hat die Anweisung gemäß dem Protokollentwurf originalgetreu umgesetzt. Der von Kelp DAO im Mainnet bereitgestellte Brückencontract hat die Freigabe ebenfalls wie vorgesehen einwandfrei ausgeführt.

116.500 rsETH, die zum damaligen Zeitpunkt einen Wert von etwa 292 Millionen US-Dollar hatten, wurden in einer einzigen Transaktion an eine vom Angreifer kontrollierte Adresse überwiesen.

Das Problem ist, dass niemand auf der anderen Blockchain dieses rsETH jemals eingezahlt hatte. Diese „kettenübergreifende Anfrage“ wurde aus der Luft gegriffen; LayerZero glaubte daran, und auch die Kelp-Bridge glaubte daran.

Sechsundvierzig Minuten später drückte Kelps Notfall-Multi-Signatur endlich die Pause-Taste. Zu diesem Zeitpunkt hatte der Angreifer die zweite Hälfte der Aktion bereits abgeschlossen: Er nutzte die gestohlenen, im Wesentlichen unbesicherten rsETH als Sicherheit in Aave V3 und nahm wETH im Wert von rund 236 Millionen US-Dollar auf.

Dies ist bislang der größte DeFi-Diebstahl des Jahres 2026 und übertrifft damit das Drift-Protokoll, das am 1. April von nordkoreanischen Hackern angegriffen wurde, um mehrere Millionen Dollar. Doch was der Branche wirklich einen Schauer über den Rücken jagt, ist nicht nur die Höhe des Betrags.

So kam es zu dem Angriff: Drei Wetten von 17:35 bis 18:28 Uhr

Stellen wir die Zeitleiste wieder her.

17:35 UTC, der erste Erfolg. Der Angreifer rief die Funktion „lzReceive“ im LayerZero-EndpointV2-Vertrag auf, und eine mit Tornado Cash finanzierte Wallet sendete ein gefälschtes kettenübergreifendes Datenpaket an den Bridging-Vertrag von Kelp. Die Vertragsüberprüfung wurde erfolgreich abgeschlossen, und 116.500 rsETH wurden an die Adresse des Angreifers freigegeben. Eine einzige Transaktion. Sauber.

Um 18:21 UTC wurden die zentralen rsETH-Verträge im Mainnet und auf mehreren Layer-2-Netzwerken durch Kelps Notfall-Pause mit Mehrfachsignatur eingefroren. 46 Minuten nach dem Angriff.

Um 18:26 Uhr und 18:28 Uhr UTC unternahm der Angreifer zwei weitere Versuche, bei denen er jedes Mal versuchte, mithilfe eines LayerZero-Datenpakets 40.000 rsETH (etwa 10 Millionen US-Dollar) abzuheben. Beide wurden rückgängig gemacht; der Vertrag war zwar bereits eingefroren worden, doch der Angreifer versuchte offensichtlich weiterhin, die verbleibende Liquidität abzuschöpfen.

Zwischen dem ersten Erfolg und Kelps öffentlicher Erklärung vergingen fast drei Stunden.

Kelps erster Beitrag auf X wurde erst um 20:10 Uhr UTC veröffentlicht, und der Wortlaut war sehr zurückhaltend: Es seien verdächtige kettenübergreifende Aktivitäten im Zusammenhang mit rsETH festgestellt worden, die rsETH-Verträge im Mainnet und auf mehreren Layer-2-Netzwerken seien pausiert worden, und man arbeite gemeinsam mit LayerZero, Unichain, Prüfern und externen Sicherheitsexperten an der Ursachenanalyse.

Noch vor der offiziellen Erklärung schlug ZachXBT, ein On-Chain-Detektiv, bereits vor 15 Uhr Eastern Time in seinem Telegram-Kanal Alarm. Er listete sechs Wallet-Adressen auf, die mit dem Diebstahl in Verbindung stehen, und wies darauf hin, dass das Angreifer-Wallet vor Beginn seiner Aktivitäten über Tornado Cash Geld bereitgestellt hatte. Er nannte Kelp DAO zwar nicht namentlich, doch On-Chain-Analysten konnten die Adressen innerhalb weniger Stunden miteinander in Verbindung bringen.

Es handelte sich um eine **vorher geplante Aktion, die durchgeführt wurde